周鸿祎:大数据时代信息安全的六挑战三原则

作者:王思宁 来源:中国日报网
2014-09-25 12:56:58

周鸿祎:大数据时代信息安全的六挑战三原则

360董事长兼CEO周鸿祎

2014年9月24日,亚太信息安全领域最权威的年度峰会——2014中国互联网安全大会(ISC 2014)在北京国家会议中心召开。大会主席、360董事长兼CEO周鸿祎发表了题为《IOT时代的大数据安全》的主题演讲,详细阐述了IOT时代的六大挑战以及信息安全三原则。

随着IOT(Internet of Things)万物互联时代的到来,任何设备都将接入互联网,由此带来的信息安全挑战前所未有。周鸿祎坦言,很难以通过一套完整的安全产品和服务从根本上杜绝安全隐患。

对此周鸿祎提出,大数据时代必须重塑信息安全的三个基本原则,以保护用户隐私和数据安全为前提,明确用户对信息数据的所有权,明确企业对信息数据的保障义务,并保障用户在信息交换和使用时的知情权,是IOT时代保护信息安全的基础。

信息安全面临的六大挑战

1.网络接入边界模糊化

周鸿祎表示,在PC互联网时代,电脑连接还有明显的边界,通过线缆来进行连接,这时的安全问题可以靠防病毒、查杀流氓软件、防火墙进行防御。但到了互联网新阶段,特别是移动互联网时代,手机打破了对网络边界的定义,手机和个人隐私信息联系在一起,所以,安全的问题变得更加严重。

他认为,下一个五到十年是IOT时代——万物互联。互联网不仅仅是人和人连起来,也不仅仅是手机之间的连接,而是能够把今天我们所有能看到、能想到、能碰到的各种各样的设备,大到工厂里的发电机,车床,小到冰箱、插座、灯泡,到每个人身上带的所有的东西都可以连接起来。

在老周看来,万物互联时代所有的设备,都会内置一个智能的芯片和内置的智能操作系统,所有的东西,实际上都变成了一个“手机”。例如智能汽车,就是骑在一部有四个轮子的大手机上。所有的设备都通过3G、4G的网络,通过Wi-Fi、蓝牙等各种各样的协议都要和互联网、云端7×24小时相连,这里面就会产生真正大量的海量数据,他估计未来五年内至少有100~200亿智能设备连接互联网,这个设备的数量会远超过今天人口的数目,会远远超过现在电脑和手机的数目。

2.所有企业都将呈现互联网化趋势

周鸿祎认为IOT将是一个巨大的机会,对于互联网公司,可以利用IOT技术把原来很多线上的设计延展到线下。举个例子,过去360做电脑卫士、手机卫士,但现在要做路由器,为什么呢?未来用户的家居如果被人攻占了,家庭局域网出现问题,可能问题就比较大。利用IOT技术,给每个儿童戴上一个手表,父母可以随时定位知道它的位置,根据环境我们可以知道小孩所处的情况,可以迅速把他的位置和情况通知给父母,这就是利用IOT技术从线上的安全走到线下,解决用户的人身安全和家居安全。

至于IOT更大的机会,周鸿祎则认为中国传统产业特别是传统制造业将会有机会,重新发明轮子的时代到了,利用IOT的技术你可以把轮胎也变成智能的。企业可以通过IOT卖东西的生意变成了长期服务的生意。所以,很多IOT的技术支持下,传统企业不仅仅是利用互联网来获取信息、发布信息和销售产品。还可以让自己的产品都变成具有互联网体验的产品,可以让商业模式从一次性买卖变成提供互联网服务。所以,这也就意味着IOT可以帮助很多传统企业转型升级,最后所有的企业都会变成互联网企业。

3.大数据时代对用户隐私的挑战

在畅谈IOT带给互联网甚至全行业机遇的同时,周鸿祎也对存在的实际安全问题,提出了自己的见解。他表示未来最重要的就是对用户隐私的挑战,在这样一个IOT和大数据的时代,每个人的数据,实际上只要使用网络服务就会被传到云端,就会被储存到各个提供互联网服务的公司,每个公司都会运用云技术来存储用户的信息,每个人会变得更加透明。

而当前法律和规则的制定是落后的,存在很多问题,在这种情况下更需要很好的去保护个人的隐私。例如,大数据时代是广告主梦寐以求的黄金时期,过去做广告都不知道用户是谁,不知道用户喜欢什么,所有的广告效果都很难评估。但今天有了大数据,可以7×24小时的不断的采集数据,并在云端把它们汇总起来,这样每个人就变成了透明人,每个人在干什么,在想什么,可能云端全部都知道,在这种情况下,除非不用任何先进的设备,不用网络,不用手机,否则这种情况下很难解决个人隐私数据的保护问题。

美国有一家公司,只要给他的试管吐一口吐沫,就可以免费测出用户的基因组。周鸿祎表示,未来测基因的成本一定会很低,有这样一家免费测基因的公司,它就拿到了大家最隐私的数据,二十年以后,就可以上门通过掌握的最隐私的信息,向你推销产品,所有的商业模式就会建立起来,这对公司来说是黄金时代,但对个人来说个人信息安全则变得无比脆弱。

万物互联的前提下,所有的设备都将智能化,接入网络后,边界的概念将会进一步被削弱,也就是说接入点越多,可以被攻破的入口可能就越多。过去,可以奉行隔离、切断,但今天你会发现越来越多的可能不起眼的设备都支持Wi-Fi和蓝牙,这里面有太多可以被别人攻击的点,而且攻击点越多,从防御来说挑战就越大。

老周表示,过去很多企业可能不太重视企业安全。安全措施例如企业防火墙究竟是否有效,也不太看重。过去企业的发展,可能把自己割裂在一个安全的孤岛上,但变成互联网企业之后,不可避免要把核心业务系统接入到互联网上。

当所有的企业都变成互联网企业后,企业安全一定要提高到一个更重要的优先级上,如果企业服务器或网络被攻破之后,可能不意味着仅仅是内部数据泄露,可能意味着用户数据的灾难。此前,美国一家零售企业遭受共计,导致有五千万用户的资料丢失;中国企业也发生过用户信用卡密码丢失的情况,这对很多企业来说意味着,企业安全的防护级别和对抗能力要前所未有的提高。

4.智能设备被非法控制后的灾难

对于可能造成的危害,周鸿祎认为,智能设备IOT被非法控制之后造成的危害是巨大的。过去电脑中毒了,最多觉得今天完不成。手机出问题,无非是最近多了很多艳照。今天手机和支付系统连在一起,用户的通讯录被盗用了,会收到一些诈骗短信。但万物互联是可被控制的,不是一个单纯的网络,被控制后带来的风险就非常大了。

如果智能汽车在行驶中突然死机了,蓝屏了,弹出一个大窗口提示,这样的汽车不会有人开的,一旦出现问题就会非常的严重。

他反复强调,IOT时代一旦网络被人控制不堪设想。就像电影大片虎胆龙威中布鲁斯威斯利说的那样,恐怖分子控制了电厂,控制了大坝,控制了交通信号灯,之前觉得不可思议,这些专用网络为何要接入互联网。但到了IOT时代,所有的设备都可以远端控制、智能采集数据,都可以接入互联网。

5.大数据污染

周鸿祎首先对于大数据污染进行了诠释,就是大数据中如果被人为加入了不好的数据,人为操作和注入修改虚假信息,在数据传输存储过程中出现了问题,根据大数据做一些行业的指导和趋势的分析,可能会出问题。

“数据污染”通常分为两种情况,一种是收集的数据中含有刻意、无意的无用甚至对分析产生负作用的数据;另一种是收集后的数据遭受入侵、篡改、替换等情况。

上升到大数据层面,“数据污染”将会为数据分析方带来“误判”,从宏观局面考虑,“大数据污染”可能导致“国家金融导向偏失”、“传染病疫情失控”以及“国计民生政策制定偏差”等,严重情况下甚至可能引发事故灾难。

在未来,大数据将成为一切组织、国家、社会行为决策判断的基础,如果大数据被入侵、被篡改、被污染,那么将会影响一系列的社会决策问题,其后果将是灾难性的。

6.人工智能的挑战

除了IOT的趋势,周鸿祎还谈到美国另一个很热的概念——机器人。按照他的理解,机器人的背后是人工智能和机器的意识,但传统的机器人工智能的方法,例如教电脑下棋和做电脑翻译,从五十年代这些问题一直在解决中,但从来没有找到真正革命性的解决方法。但最近一年,一些机器学习和智能算法的出现,包括图像识别,在机器翻译方面都取得了进展,其实它的本质是利用了大数据。有了海量数据,再跟这些算法的结合,它可能产生真正的人工智能,所以IOT将来在云端可能会出现利用大数据之后产生机器的这种智能,或者所谓叫做云脑和机器大脑,让它再反过来对各种设备进行反向控制,所以,这听起来可能既是一个好消息,对安全也会是一个挑战。

信息安全三原则

针对大数据时代背景下,可能存在的安全隐患,周鸿祎提出了信息安全三原则:

第一,虽然这些信息储存在不同的服务器上,但这些数据应该是用户的资产,这是必须被明确的。周鸿祎希望将来谈及用户数据时,能等同于财产所有权一样,个人隐私数据也会有所有权,希望立法专家能够考虑这个所有权应属于用户所有。所以,个人信息是用户的资产,它只是暂时托管和存放在各个公司的服务器上。

第二,不仅是今天的互联网公司、网络安全公司,甚至包括很多要进入互联网要利用IOT技术,要给用户提供这些信息服务的公司来讲,要有相应的安全能力,要把收集到的用户数据进行安全存储和安全的传输,这是企业的责任和义务,如果这个企业没有足够的安全能力,收集了用户的信用卡资料,这些信息的丢失,都会给整个社会带来很灾难的结果。

每一个想做互联网业务的公司,每一个有用户资料的公司,每一个要把自己的服务摆到互联网上去的公司,都要提升公司的安全能力,提升安全防护水平,要收集用户的数据,必须要先解决安全可靠的传输存储的基础。

第三,使用用户的信息,一定要让用户有知情权、选择权,平等交换、授权使用,不能未经用户的授权就去采集他的信息。比如今天在手机上有很多数据,有很多应用,它根本和短信毫无关系,却要把用户的短信记录传到网上,没有让用户有知情权,还有很多用户可以选择说,不需要厂商提供的这个服务,可以把它关掉,可以拒绝厂商采集用户的数据,用户一定要有这种选择权。

用户用自己的数据交换了可能对这种服务的使用,这种数据被企业拿到之后,企业可以利用它来做一些所谓的推广,但一定要获得用户的授权,这种未经用户授权对用户数据的泄露,把这种数据卖给别人利用这种数据牟利,将来不仅要被视作不道德的行为,而且要看成是非法的。

最后,周鸿祎表示只有遵守上述的三原则,进入万物互联时代,才能让用户对下一代互联网感觉更放心,才能更好的使用。这种全新的挑战,需要每个人、每个公司、安全企业各方面的支持,互联网上最重要的就是安全第一。

延伸阅读:2014中国互联网安全大会

标签: